banner
bladedragon

bladedragon

ホームアーカイブ紹介

VRRPの基礎

#ICT#安全30
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
VRRP (Virtual Router Redundancy Protocol) is a routing protocol that solves the problem of single point of failure in LANs by virtualizing multiple routers into one virtual router. It ensures uninterrupted transmission of network traffic and provides faster link switching compared to traditional solutions. VRRP routers run VRRP and can be organized into virtual router backup groups. The protocol uses VRRP advertisements to maintain the backup group status and allows for master and backup router switching. VRRP can also be used for load balancing by creating multiple backup groups. VGMP (VRRP Group Management Protocol) is introduced to achieve consistency in the state of VRRP backup groups on firewalls. It manages VRRP backup groups within a VRRP management group and controls their state switching. VGMP also provides mechanisms for state consistency management and preemptive switching.

背景#

モバイルオフィス、オンラインショッピング、インスタントメッセージング、インターネット金融、インターネット教育などのビジネスの急速な発展に伴い、ネットワークによるビジネスの負荷はますます増えて重要性も高まっています。そのため、ネットワークの断続的な転送を保証する方法は、ネットワークの発展過程で解決すべき重要な問題となっています。

そのため、その中の一つの解決策は、冗長バックアップメカニズムを使用して、従来のネットワーク構築によるシングルポイントの障害を回避し、ルータの障害が発生した場合にリンクの切り替えを迅速に行い、ビジネスのスムーズな進行を保証することです。

従来の解決策

  1. シングルポイントの障害を解決するために複数のルータを設置する
  2. 動的ルーティングプロトコルを使用して複数のゲートウェイの競合を解決し、リンクの切り替えを実現する

しかし、従来の解決策にはいくつかの問題があります

  1. 一部の動的ルーティングプロトコルは、リンクの切り替え速度が比較的遅いため、遅延が発生する場合があります
  2. 多くのシナリオでは、動的ルーティングの使用がサポートされない可能性があります

そこで、VRRP が登場しました。

VRRP の基本概念#

VRRP

仮想ルータ冗長プロトコル(Virtual Router Redundancy Protocol、略称 VRRP)は、IETF によって提案されたローカルエリアネットワーク(LAN)で静的ゲートウェイのシングルポイント障害が発生した場合のルーティングプロトコルです。

VRRP は、ネットワーク構成を変更せずに、複数のルータを仮想ルータとして仮想化し、仮想ルータの IP アドレスをデフォルトゲートウェイとして設定することで、ゲートウェイのバックアップを実現します。

利点#

VRRP を使用したリンク保護メカニズムは、動的ルーティングプロトコルに依存したブロードキャストパケットよりもリンク切り替えの時間が短くなり、動的ルーティングを使用できない場合のリンク保護を補完します。

用語の説明#

image

  • VRRP ルータ:VRRP を実行するデバイスであり、1 つまたは複数の仮想ルータに属する場合があります。
  • 仮想ルータ(バックアップグループ):同じブロードキャストドメイン内の一組のルータが仮想ルータとしてグループ化され、内部ネットワークのゲートウェイアドレスとして 1 つの仮想 IP アドレスを共有します。
  • 仮想 IP アドレス:仮想ルータの IP アドレスであり、1 つまたは複数の IP アドレスを持つことができます。ユーザーが設定します。
  • IP アドレス所有者:VRRP ルータが仮想ルータの IP アドレスを実際のインターフェースアドレスとして使用する場合、そのデバイスは IP アドレス所有者です。
  • 仮想 MAC アドレス:仮想ルータが仮想ルータ ID に基づいて生成する MAC アドレスです。仮想ルータが ARP リクエストに応答する際に、実際のインターフェースの MAC アドレスではなく、仮想 MAC アドレスを使用します。
  • マスタ IP アドレス:インターフェースの実際の IP アドレスから選択されるメイン IP アドレスであり、通常は最初の設定された IP アドレスが選択されます。VRRP ブロードキャストパケットでは、メイン IP アドレスが IP パケットのソースアドレスとして使用されます。
  • マスタ(Master)ルータ:同じバックアップグループ内の複数のルータのうち、アクティブな状態にあるのは 1 台だけであり、仮想 IP アドレスを次のホップとして転送することができます。
  • バックアップ(Backup)ルータ:同じバックアップグループ内の複数のルータのうち、マスタルータ以外のルータはすべてバックアップルータであり、バックアップ状態にあります。

ステートマシン

  • VRRP には 3 つの状態があります:初期状態、アクティブ状態、バックアップ状態。状態の切り替えプロセスは次のとおりです:

image

プロトコルメッセージ

vrrp には 1 つのメッセージタイプしかありません:Advertisement メッセージ。その宛先 IP アドレスは 224.0.0.18(マルチキャストアドレス)であり、宛先 MAC アドレスは 01-00-5e-00-00-12 であり、プロトコル番号は 112 です。

以下では、VRRP の 2 つの主要な動作モードであるマスターバックアップとロードバランシングについて説明します。

VRRP マスターバックアップ#

プロセス#

マスターの選出#

選出ルール:1. 優先度を比較する 2. 優先度が同じ場合、マスターが存在する場合はマスターの状態を維持する 3. マスターが存在しない場合は、インターフェースの IP アドレスを比較し、大きい方がマスターになる

バックアップグループの状態維持#

  1. マスターは定期的にグループ内のデバイスに VRRP 通知メッセージを送信し、自身が正常な状態であることを通知します。
  2. マスターの切り替え条件:1. マスターが自発的に放棄し、優先度 0 の通知メッセージを送信する 2. マスターが故障し、Master_Down_Interval タイマーのタイムアウトを待ってマスターを選出する。この切り替え時間を Skew_Time と呼びます。計算方法は(256 - バックアップデバイスの優先度)/256(秒単位)
  3. Master_Down_Interval タイマーの値:3×Advertisement_Interval+Skew_Time(秒単位)。

マスターの復帰#

  1. 元の故障したマスタールータが復旧し、自分自身の優先度が受信した RouterB の VRRP メッセージよりも低いことがわかった場合、RouterA はすぐにマスターになります。

    押し出しモード:

    • デフォルトでは、高優先度のバックアップルータは低優先度のマスタールータの位置を奪うことができますが、IP アドレス所有者が使用可能な場合は常に押し出しの状態にあり、マスターデバイスになります。
    • 注意:押し出し遅延はデフォルトで 0 ですが、ネットワークが不安定な場合に頻繁な切り替えによるトラフィックの中断を防ぐために、わずかに長い遅延時間を設定することができます。

  2. 注意:VRRP の上りリンクの障害は、マスターとバックアップの通知が正常であるため、マスターとバックアップの切り替えを引き起こすことはありません。

    解決策:VRRP のリンク機能を使用して上りリンクまたはインターフェースの障害を監視し、アクティブにマスターバックアップを切り替えます。

image

VRRP ロードバランシング#

  • ロードバランシングは、複数の VRRP バックアップグループが同時にトラフィック転送を担当することを意味し、トラフィックの均等な分散、マスターの負荷軽減を実現します。
  • ロードバランシング方式では、複数の VRRP バックアップグループを作成し、各バックアップグループのマスターデバイスを異なるデバイスに配置します。単一のデバイスは複数のバックアップグループに参加し、異なるバックアップグループで異なる役割を果たします。

image

VGMP の概要#

VRRP はシングルポイント障害を解決し、マスターバックアップを実現できますが、ファイアウォールの特性により、ファイアウォールのマスターとバックアップの状態の一貫性を実現するためには、従来の VRRP 方式では不可能です。VRRP の状態の一貫性やセッションテーブルのバックアップを実現するためには、VGMP(VRRP Group Management Protocol)を導入する必要があります。

VGMP は、同じファイアウォール上の複数の VRRP バックアップグループをすべて 1 つの VRRP 管理グループに加え、管理グループがすべての VRRP バックアップグループを一元管理する概念です。管理グループによるすべての VRRP バックアップグループの状態切り替えの統一制御により、管理グループ内のすべての VRRP バックアップグループの状態が一貫していることを保証します。

基本原理#

  • ファイアウォール上の VGMP が Active/Standby 状態の場合、グループ内のすべての VRRP バックアップグループの状態は Active/Standby 状態に統一されます。
  • Active 状態の VGMP も定期的に HELLO メッセージを相手に送信し、Standby 側に自身の実行状態(優先度、VRRP メンバーの状態など)を通知します。
  • VGMP HELLO メッセージの送信周期はデフォルトで 1 秒です。Standby 側は相手からの HELLO メッセージを 3 つの HELLO メッセージ周期受信しない場合、相手が故障したと判断し、自身を Active 状態に切り替えます。

image

VGMP 管理メカニズム#

状態の一貫性管理

VGMP 管理グループはすべての VRRP バックアップグループの切り替えを統一制御します。

押し出し管理

元の故障したメインデバイスが復旧し、優先度も復元されると、自身の状態を再びメインに押し出すことができます。

ファイアウォールのバックアップと故障時の自動移行によるビジネスの連続性を確保するための VGMP の使用方法は、ファイアウォールの冗長性の一部です。しかし、制限されたスペースのため、ここでは詳細には触れません。次回の機会にセキュリティに関する知識を続けましょう。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。